Мастеру установки доменных служб active directory не удается преобразовать учетную запись компьютера

Обновлено: 07.07.2024

Цель лекции: Дать представление о возможных неполадках с Active Directory и способах их устранения.

При возникновении неполадок в работе Active Directory необходимо в первую очередь проверить журнал событий службы каталогов. Кроме того, существуют и другие специализированные средства отслеживания проблем. Также для решения возникающих вопросов с Active Directory возможно обращение в сертифицированные службы поддержки вендоров и к информации, размещенной на официальном сайте производителя.

Типичные проблемы с Active Directory

Перечислим некоторые типичные проблемы с Active Directory , с которыми можно столкнуться, и их возможные решения [ 4 ] , [ 5 ] .

Ошибки репликации

Неэффективная репликация вызывает падение производительности службы Active Directory , например, могут не распознаваться новые пользователи. В большинстве случаев в результате неэффективной обработки запросов и неэффективной репликации информация каталога устаревает, а контроллеры домена становятся недоступными.

Журнал службы каталога сообщает об ошибках репликации, которые происходят после установления репликационной связи. Нужно просматривать журнал регистрации событий службы каталога в поисках событий репликации, имеющих тип Error (Ошибка) или Warning (Предупреждение).

Далее приводится два примера типичных ошибок репликации в том виде, как они отображены в журнале регистрации событий службы каталога [ 13 ] .

• Событие с ID 1311. Информация о конфигурации репликации, имеющаяся в инструменте Active Directory Sites And Services ( Сайты и службы Active Directory), не отражает точно физическую топологию сети. Эта ошибка указывает на то, что один или более контроллеров домена или сервер-плацдарм находятся в автономном режиме (либо отключены), или что серверы-плацдармы подключены, но не содержат нужных контекстов именования (NC), либо при репликации требуемого контекста наименования между сайтами Active Directory возникают ошибки. Также возможная причина данной ошибки заключается в том, что один или несколько узлов не включены в связи сайтов либо связи сайтов содержат все сайты , но не все взаимодействующие между собой связи сайтов .
• Событие с ID 1265 ( Access denied - Доступ запрещен). Эта ошибка может возникать в том случае, если локальный контроллер домена не сумел подтвердить подлинность своего партнера по репликации при создании репликационной связи или при попытке реплицировать по существующей связи. Ошибка возникает тогда, когда контроллер домена был отсоединен от остальной части сети в течение долгого времени и его пароль учетной записи компьютера не синхронизирован с паролем учетной записи компьютера, хранящимся в каталоге его партнера по репликации.

Репликация Active Directory зависит от следующих факторов:

• Записи должны реплицироваться на DNS-серверы, используемые партнерами репликации.
• Каждая зона DNS должна иметь необходимое делегирование дочерних зон.
• В IP-конфигурации контроллеров доменов должны быть правильно заданы основные и альтернативные DNS-серверы.

Как правило, проблемы, которые можно устранить средствами консоли Active Directory Sites and Services, таковы [ 4 ] :

• новая информация каталога не распространяется своевременно;
• запросы на обслуживание не обрабатываются вовремя.

Далее приведены некоторые типичные ошибки репликации и способы их устранения [ 4 ] , [ 5 ] , [ 6 ] .

• Любой отказ в репликации между контроллерами домена. Возможная причина: неправильное функционирование инфраструктуры DNS . Предлагаемое решение: настроить DNS-сервер и правильно сконфигурировать службу DNS .
• Репликация информации каталога прекратилась. Возможная причина: сайты , включающие клиентов и контроллеры домена, не имеют связей с контроллерами доменов другого сайта сети, что вызывает сбои в обмене информацией каталога между сайтами . Предлагаемое решение: создать связь между текущим сайтом и сайтом , подключенным к остальным сайтам сети.
• Репликация информации каталога замедлилась, но не остановилась. Возможные причины и предлагаемые решения приведены в таблице 14.1.

Проверка топологии репликации заключается в том, что Active Directory запускает процесс, который определяет стоимость межсайтовых подключений, проверяет доступность известных контроллеров домена и факт добавления новых. На основе полученных сведений Active Directory добавляет или удаляет объекты-подключения для формирования эффективной топологии репликации. Этот процесс не затрагивает объекты-подключения, созданные вручную с помощью инструмента Active Directory Sites and Services.

06/07 10:01:00 [INFO] Promotion request for replica domain controller
06/07 10:01:00 [INFO] DnsDomainName VGF
06/07 10:01:00 [INFO] ReplicaPartner (NULL)
06/07 10:01:00 [INFO] SiteName (NULL)
06/07 10:01:00 [INFO] DsDatabasePath C:\WINDOWS\NTDS, DsLogPath C:\WINDOWS\NTDS
06/07 10:01:00 [INFO] SystemVolumeRootPath C:\WINDOWS\SYSVOL
06/07 10:01:00 [INFO] Account VGF\administrator
06/07 10:01:00 [INFO] Options 192
06/07 10:01:00 [INFO] Validate supplied paths
06/07 10:01:00 [INFO] Validating path C:\WINDOWS\NTDS.
06/07 10:01:00 [INFO] Path is a directory
06/07 10:01:00 [INFO] Path is on a fixed disk drive.
06/07 10:01:01 [INFO] Validating path C:\WINDOWS\NTDS.
06/07 10:01:01 [INFO] Path is a directory
06/07 10:01:01 [INFO] Path is on a fixed disk drive.
06/07 10:01:01 [INFO] Validating path C:\WINDOWS\SYSVOL.
06/07 10:01:01 [INFO] Path is on a fixed disk drive.
06/07 10:01:01 [INFO] Path is on an NTFS volume
06/07 10:01:01 [INFO] Start the worker task
06/07 10:01:01 [INFO] Request for promotion returning 0
06/07 10:01:01 [INFO] Поиск контроллера для домена VGF, который содержит учетную запись DCVGF$

06/07 10:01:01 [INFO] Найден контроллер intsrv2.VGF для домена VGF

06/07 10:01:01 [INFO] Используется сайт Default-First-Site-Name для сервера \\intsrv2.VGF

06/07 10:01:01 [INFO] Forcing time sync
06/07 10:01:01 [INFO] Принудительная синхронизация времени с \\intsrv2.VGF

06/07 10:01:01 [INFO] Остановка службы NETLOGON

06/07 10:01:01 [INFO] Остановка службы NETLOGON

06/07 10:02:01 [INFO] Configuring service NETLOGON to 1 returned 0
06/07 10:02:01 [INFO] Stopped NETLOGON
06/07 10:02:01 [INFO] Deleting current sysvol path C:\WINDOWS\SYSVOL
06/07 10:02:04 [INFO] Created system volume path
06/07 10:02:04 [INFO] Копирование файла исходной базы данных службы каталогов C:\WINDOWS\system32\ntds.dit на C:\WINDOWS\NTDS\ntds.dit

06/07 10:02:06 [INFO] Установка службы каталогов

06/07 10:02:06 [INFO] Calling NtdsInstall for VGF
06/07 10:02:06 [INFO] Запуск установки Active Directory
06/07 10:02:06 [INFO] Проверка предоставленных пользователем параметров
06/07 10:02:06 [INFO] Определение сайта для установки
06/07 10:02:06 [INFO] Исследование существующего леса службы каталогов Active Directory
06/07 10:02:06 [INFO] Настройка локального контроллера домена для несения службы каталогов Active Directory
06/07 10:02:15 [INFO] Создание параметров объекта NTDSA для данного контроллера домена на удаленном контроллере домена intsrv2.VGF?
06/07 10:02:15 [INFO] Репликация схемы разделов
06/07 10:02:17 [INFO] Репликация CN=Schema,CN=Configuration,DC=VGF: получено 536 из приблизительно 1263 объектов.
06/07 10:02:19 [INFO] Репликация CN=Schema,CN=Configuration,DC=VGF: получено 1071 из приблизительно 1263 объектов.
06/07 10:02:20 [INFO] Репликация CN=Schema,CN=Configuration,DC=VGF: получено 1263 из приблизительно 1263 объектов.
06/07 10:02:20 [INFO] Реплицирован контейнер схемы.
06/07 10:02:21 [INFO] Кэш схемы обновлен службой Active Directory.
06/07 10:02:21 [INFO] Репликация конфигурации схемы разделов
06/07 10:02:24 [INFO] Репликация CN=Configuration,DC=VGF: получено 536 из приблизительно 1555 объектов.
06/07 10:02:25 [INFO] Репликация CN=Configuration,DC=VGF: получено 1069 из приблизительно 1555 объектов.
06/07 10:02:27 [INFO] Репликация CN=Configuration,DC=VGF: получено 1554 из приблизительно 1555 объектов.
06/07 10:02:27 [INFO] Реплицирован контейнер конфигурации.
06/07 10:02:27 [INFO] Error - Мастеру установки Active Directory не удается преобразовать учетную запись компьютера DCVGF$ в учетную запись контроллера домена. (5)
06/07 10:02:29 [INFO] NtdsInstall for VGF returned 5
06/07 10:02:29 [INFO] DsRolepInstallDs returned 5
06/07 10:02:29 [ERROR] Failed to install to Directory Service (5)
06/07 10:02:42 [INFO] Запуск службы NETLOGON

06/07 10:02:42 [INFO] Configuring service NETLOGON to 2 returned 0
06/07 10:02:42 [INFO] Предпринятая контроллером домена операция завершена

Кирилл,
Вот попробуй просмотри:

Event ID: 1168 Source: NTDS General Description: Error -1073741823(c0000001) has occurred (Internam ID 3000b35) . From the output, you know the DC is using port 1094 for FRS and .

А какой режим работы домена\леса и какая ОС на дополнительном поднимаемом КД? Кстати еще можно посмотреть логи "поднятия" КД - dcpromo.log, dcpromoui.log, netsetup.log Александр, ошибся именем.
Все описано в данной статье, советую кстати почаще пользоваться. Надеюсь английский не проблема.

Только что посмотрел - режим работы домена - Windows Server 2003.

Подключаемый дополнительный контроллер - Windows Server 2003 SP1

10/13 16:56:48 [INFO] Остановка службы NETLOGON

10/13 16:56:48 [INFO] Остановка службы NETLOGON

10/13 16:57:48 [INFO] Configuring service NETLOGON to 1 returned 0
10/13 16:57:48 [INFO] Stopped NETLOGON
10/13 16:57:48 [INFO] Deleting current sysvol path C:\WINDOWS\SYSVOL
10/13 16:57:49 [INFO] Created system volume path
10/13 16:57:49 [INFO] Копирование файла исходной базы данных службы каталогов C:\WINDOWS\system32\ntds.dit на C:\WINDOWS\NTDS\ntds.dit

10/13 16:57:50 [INFO] Установка службы каталогов

10/13 16:58:12 [INFO] Configuring service NETLOGON to 2 returned 0
10/13 16:58:12 [INFO] Предпринятая контроллером домена операция завершена

10/13 16:58:12 [INFO] DsRolepSetOperationDone returned 0

dcpromoui 7F0.F1C 02CD Enter ProgressDialog::UpdateText Настройка локального контроллера домена для несения службы каталогов Active Directory
dcpromoui 7F0.F1C 02CE Enter ProgressDialog::UpdateText Репликация схемы разделов
dcpromoui 7F0.F1C 02CF Enter ProgressDialog::UpdateText Репликация CN=Schema,CN=Configuration,DC=profil,DC=kbk,DC=onego,DC=ru: получено 1000 из приблизительно 1000 объектов.
dcpromoui 7F0.F1C 02D0 Enter ProgressDialog::UpdateText Репликация конфигурации схемы разделов
dcpromoui 7F0.F1C 02D1 Enter ProgressDialog::UpdateText Репликация CN=Configuration,DC=profil,DC=kbk,DC=onego,DC=ru: получено 1000 из приблизительно 2469 объектов.
dcpromoui 7F0.F1C 02D2 Enter ProgressDialog::UpdateText Реплицирован контейнер конфигурации.
dcpromoui 7F0.F1C 02D3 Enter ProgressDialog::UpdateText Предпринятая контроллером домена операция завершена

Мастеру установки Active Directory не удается преобразовать учетную запись компьютера SRV3$ в учетную запись контроллера домена.

"Отказано в доступе."
dcpromoui 7F0.F1C 0303 posting message to progress window
dcpromoui 7F0.730 0304 Enter ProgressDialog::UpdateText Операция остановлена
dcpromoui 7F0.730 0305 Enter ProgressDialog::OnDestroy
dcpromoui 7F0.730 0306 OPERATION FAILED
dcpromoui 7F0.730 0307 Enter State::GetNeedsReboot false
dcpromoui 7F0.730 0308 Enter State::IsOperationRetryAllowed
dcpromoui 7F0.730 0309 true
dcpromoui 7F0.730 030A Enter Wizard::SetNextPageID >dcpromoui 7F0.730 030B push 142
dcpromoui 7F0.730 030C Enter FailurePage::OnInit
dcpromoui 7F0.730 030D Enter MultiLineEditBoxThatForwardsEnterKey::Init
dcpromoui 7F0.730 030E Enter ControlSubclasser::Init
dcpromoui 7F0.730 030F Enter FailurePage::OnSetActive
dcpromoui 7F0.730 0310 Enter State::GetOperationResultsCode FAILURE
dcpromoui 7F0.730 0311 Enter State::GetFailureMessage Операция не выполнена по следующей причине:

Мастеру установки Active Directory не удается преобразовать учетную запись компьютера SRV3$ в учетную запись контроллера домена.

"Отказано в доступе."
dcpromoui 7F0.730 0312 Enter DCPromoWizardPage::OnWizNext
dcpromoui 7F0.730 0313 Enter FailurePage::Validate
dcpromoui 7F0.730 0314 Enter Wizard::SetNextPageID >dcpromoui 7F0.730 0315 push 156
dcpromoui 7F0.730 0316 Enter FinishPage::OnInit
dcpromoui 7F0.730 0317 Enter MultiLineEditBoxThatForwardsEnterKey::Init
dcpromoui 7F0.730 0318 Enter ControlSubclasser::Init
dcpromoui 7F0.730 0319 Enter FinishPage::OnSetActive
dcpromoui 7F0.730 031A Enter getCompletionMessage
dcpromoui 7F0.730 031B Enter State::GetOperation REPLICA
dcpromoui 7F0.730 031C Enter State::GetOperationResultsCode FAILURE
dcpromoui 7F0.730 031D Enter State::GetFinishMessages
dcpromoui 7F0.730 031E Enter FinishPage::OnWizFinish
dcpromoui 7F0.730 031F Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0320 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0321 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0322 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0323 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0324 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0325 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0326 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0327 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0328 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 0329 Enter ControlSubclasser::UnhookWindowProc
dcpromoui 7F0.730 032A exitCode = 0
dcpromoui 7F0.730 032B closing log

Может быть это поможет:

При таких проблемах (и при любых других тоже :) надо проверять всегда:

1. Работает ли ДНС

2. Тот самый компьютер, который вводится в домен, смотрит ли он именно на тот сервер ДНС

3. Настроена ли обратная зона на ДНС локальной сети.

Принудительное понижение роли контроллеров домена Windows Server 2003

Бывают случаи когда корректно понизить роль контроллера домена под управлением Windows 2000 или Windows Server 2003 с помощью мастера установки Active Directory (Dcpromo.exe) не удается. Такая ситуация может быть в случае сбоя зависимости или операции, например сбой подключения к сети, проверки аутентификации, репликации службы каталогов Active Directory, разрешения имен и тд.. Для начала нужно выяснить причину возникновения данной ситуации, для этого нужно запустить мастер установки Active Directory. В случае неудачи при установке или удалении выйдет ошибка! Также рекомендуется просмотреть ошибки в eventlog.

Для начала работ по принудительному понижению роли контроллеров домена, необходимо иметь административный пароль ОС, потому как после понижения роли войти под учетными данными не удастся.

Действия:

В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.

На странице Удаление Active Directory снимите флажок Этот сервер — последний контроллер домена в данном домене и нажмите кнопку Далее.

На странице Сетевые учетные данные введите имя, пароль и имя домена для учетной записи, которая обладает правами администратора предприятия в данном лесу, и нажмите кнопку Далее.

На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.

На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.

Если домен был удален из леса с помощью утилиты Ntdsutil используя коменду: remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать.

Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для пользователей, компьютеров, доверительных отношений и членства в группах).

Принудительное понижение роли контроллера домена возвращает операционную систему в состояние, которое аналогично состоянию после успешного понижения роли последнего контроллера домена, включая тип запуска служб, установленные службы, использование диспетчера SAM на базе реестра и членство в рабочей группе. На пониженном в роли контроллере домена сохраняются установленные программы.

После принудительного понижения роли контроллера домена необходимо выполнить следующие действия.

1. Удалите из домена учетную запись компьютера.
2. Удалите оставшиеся DNS-записи, включая записи A, CNAME и SRV.
3. Удалите оставшиеся объекты члена FRS (FRS и DFS). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

Читайте также:

  
• Как сделать на playstation 4
  
• Не работает у ноутбука thinkpad x1
  
• Как обновить gs c593 usb
  
• В школе 800 учащихся сколько байт памяти требуется для хранения кодов 320 учащихся
  
• Как открыть документ с электронной подписью sig